IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

POODLE : les ingénieurs de Google découvrent une faille critique dans SSLv3
Mozilla annonce la fin du support du protocole dans Firefox 34

Le , par Cedric Chevalier

45PARTAGES

3  0 
Les ingénieurs de Google viennent de remettre sur la scène le protocole SSLv3 vieux de 15 ans, à travers une attaque baptisée POODLE (Padding Oracle On Downgraded Legacy Encryption). Cette attaque exploite les faiblesses de SSLv3 pour permettre l’accès aux informations telles que le mot de passe et le cookie de connexion d’une victime sur un canal de communication sécurisée avec SSL, établi entre le serveur et le navigateur client.

Le protocole est vieux de 15 ans et de nouveaux standards plus robustes ont vu le jour. De quoi devrait-on avoir peur ? Question légitime. Cependant, il faut rappeler que les navigateurs actuels aussi bien que les serveurs prennent toujours en charge le protocole SSLv3.

Pourquoi ? Tout simplement par souci de rétrocompatibilité avec des navigateurs anciens comme IE6, qui ne prennent pas en charge les nouveaux standards plus robustes.

En pratique, lorsqu’un navigateur client initie une connexion sécurisée avec un serveur, il propose le protocole de chiffrement le plus robuste à sa connaissance, à utiliser conjointement avec le serveur.

Cependant, si pour une raison quelconque l’établissement de la connexion sécurisée échoue, le client initie à nouveau une connexion sécurisée. Cependant, le protocole de chiffrement qu’il propose au serveur est plus vulnérable que le précédent.

Le processus se répète chaque fois que l’établissement de la connexion au serveur échoue. POODLE tire parti de ce mécanisme pour forcer le navigateur d’un utilisateur à utiliser le standard SSLv3, qui permet au hacker d’entrer par la suite en possession des informations sensibles de l’utilisateur.

Comment se protéger de cette attaque ? En premier lieu, il faut utiliser des navigateurs récents qui prennent en charge les nouveaux standards. Pour les navigateurs actuels, il faut désactiver la prise en charge du SSLv3.

Mozilla annonce que la prise en charge du SSLv3 sera désactivée par défaut dans Firefox 34 qui sortira le 25 novembre. Les versions Bêta et Aurora intègreront cette fonctionnalité dans les semaines à venir.

Pour les impatients, le plugin SSL Version Control de Firefox va permettre à leur navigateur actuel de désactiver automatiquement SSLv3.

De plus, pour empêcher les navigateurs d’utiliser les protocoles vulnérables chaque fois que l’établissement de la connexion sécurisée échoue, Firefox 34 va intégrer un plugin de protection générique basé sur les mécanismes de protection recommandé dans un « draft » publié sur le site ietf.

Sources: Blog Google, Blog Mozilla, Rapport pdf POODLE

Et vous ?

Est-il temps d’abandonner définitivement SSLv3 ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Saik29
Candidat au Club https://www.developpez.com
Le 24/10/2014 à 14:26
Que faites-vous pour vous protéger contre POODLE ?
J'ai pris un pit bull !
1  0 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 15/10/2014 à 12:52
procédure :

In Firefox you can go into about:config and set security.tls.version.min to 1.
A voir comment ca réagira quand la valeur sslv3 disparaitra.
0  0 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 24/10/2014 à 10:14
Citation Envoyé par Cedric Chevalier Voir le message
La firme de Cupertino a à cœur la sécurité le porte-feuille de ses utilisateurs.
Corrigé !
0  0